Как остановить tcpdump от усечения http полезной нагрузки?

Question

Я пытаюсь сделать захват и вижу половину полезной нагрузки с '[! Http]' на полпути. Есть ли способ заставить его показать всю полезную нагрузку?

Я выполняю вызов REST и хочу узнать, что получает сервер:

                  <value>0x100000</value>
                </attribute>
              </greater-than-or-equals>
              <less-than-or-equals>
                <attribute id="0x129fa">
                 [!http]
    16:34:06.549662 IP (tos 0x0, ttl 255, id 49564, offset 0, flags [DF], proto TCP (6), length 1301)

Я использую:

tcpdump -vvv -i ens192 tcp port 8080 and src 192.168.1.1

Любая помощь будет оценена.

Большое спасибо

Frank

Answer 1

Вполне вероятно, что проблема не столько в том, что вы захватываете, а в том, что полезная нагрузка больше одного пакета.

Когда вы запускаете tcpdump, в наши дни по умолчанию используется захват пакетов, длина которых соответствует MTU вашего интерфейса (как минимум). Вы можете переопределить это, если вы не уверены, указав нулевую длину захвата:

 tcpdump -s 0 -w captureFile.cap

Опять же, это, вероятно, не проблема здесь. Более вероятно, что остальные данные находятся в следующем сегменте TCP. К сожалению, tcpdump не идеальный инструмент для извлечения данных сеанса. Я бы посоветовал вам взглянуть на Wireshark (или tshark), который позволит вам легко выбрать пакет и затем повторно собрать поток данных со всеми удаленными заголовками IP и TCP.